Russian Users MikroTik | Форум пользователей MikroTik

Есть 2 микротика между ними настроен l2tp+IPsec. Все сети пингуются и все компы и клиенты видят друг друга. Не получается настроить, что-бы интернет сервера шел через клиента. На клиенте настроен маскарад на src. address впн_сети_сервера. На сервере настроен route 0.0.0.0/24 с gateway ип_клиента_впн_сети. Стандартный route который создается wan подключением сервера понижен до distance=2. Так же на сервере сделан маскарад через ppp. При этих настройках на устройствах за микротик сервером пропадает инет. Не понимаю, где нужно докрутить и что я упускаю.
P.S. фаерволы на обоих микротиках пустые. Тестовый стенд.

Суть маскарадов на туннеле не понятна, но вообще-то они и не нужны.
Маршрут до IP клиента на сервере в каком-то виде должен быть - иначе сам туннель развалится.
Либо в виде статического маршрута.
Либо, если адрес динамический, то тогда маршрут через впн нужно выносить в отдельную таблицу и трафик в нее заворачивать через /ip route rule.

Я вроде бы и пытаюсь через /ip route rule прописать маршрут 0.0.0.0/0 на шлюз l2tp клиента.
Вот скрин рулей сервера:

Вот клиента:


Так вот если я убираю опцию создания дефолтного маршрута на wan интерфейсе сервера и сам его прописываю с дистанцией 2 то инет не пашет.

Немного опишу схему IP для понимания:
Сервер:
Wan получаю по DHCP: IP-192.168.186.60 GW-192.168.186.1
LAN внутренняя: 192.168.88.0/24
LAN VPN: 192.168.22.0/24
IP VPN: 192.168.22.1
Клиент:
Wan получаю по DHCP: IP-192.168.36.241 GW-192.168.36.140
LAN внутренняя: 192.168.77.0/24
LAN VPN: 192.168.22.0/24
IP VPN: 192.168.22.8

Т.е. маскарад для PPP интерфейса вообще не нужно ни на сервере ни на клиенте?

tatalin писал(а): ↑27 янв 2023, 23:46 Так вот если я убираю опцию создания дефолтного маршрута на wan интерфейсе сервера и сам его прописываю с дистанцией 2 то инет не пашет.

Разумеется не пашет: туннель поднимается, дефолтным становится маршрут через туннель, туннель тут же падает, дефолтным становится маршрут в обычный WAN, туннель поднимается - и так по кругу.

Ещё раз:
- либо добавьте в основную таблицу маршрут до адреса впн-клиента;
- либо переместите дефолтный маршрут через впн в другую таблицу.

tatalin писал(а): ↑27 янв 2023, 23:46 Я вроде бы и пытаюсь через /ip route rule прописать маршрут 0.0.0.0/0 на шлюз l2tp клиента.

Через route rule прописываются не маршруты, а правила их использования.

tatalin писал(а): ↑28 янв 2023, 00:15 Т.е. маскарад для PPP интерфейса вообще не нужно ни на сервере ни на клиенте?

В туннель?
Не нужны.
Только дефолтые маскарады в WAN.

Вынужден признать, что после дня ковыряния в интернете и изучения материалов на тему статической маршрутизации и таблиц маршрутизации ничего для себя не прояснил. Обе сети видят друг друга и проблем с маршрутизацией внутри обеих сетей нет. Попробовал при помощи мэнгл и роутинг марк пустить запрос на 195.201.201.32 (2ip.ru) через vpn. Все получилось, в ту сторону идет через мост и провайдера клиента. Но в браузере крутится окошко и страничка 2ip не открывается. Может вопрос с днс или как мне кажется туда запрос уходит а назад на локальный айпишник компа запрос не возвращается, поэтому браузер не открывает страничку?

Я выше не правильно написал. Я настраивать пытаюсь в ip-routes-route list, а не через ip-routes-rules. Или как раз в rules нужно добавить маршрут? Спасибо за терпение!

xvo писал(а): ↑27 янв 2023, 23:18 Суть маскарадов на туннеле не понятна, но вообще-то они и не нужны.
Маршрут до IP клиента на сервере в каком-то виде должен быть - иначе сам туннель развалится.
Либо в виде статического маршрута.
Либо, если адрес динамический, то тогда маршрут через впн нужно выносить в отдельную таблицу и трафик в нее заворачивать через /ip route rule.

Адрес vpn сервера и клиента статические. У меня ни в одну сторону не получается настроить работу интернета через vpn ни с клиента через сервер ни обратно. Перекопал кучу примеров решения данного вопроса но ни один не сработал.

Опять же читаю что если создать ppp на клиенте с опцией add-default-route=yes то трафик должен идти через vpn, но он не идет и как я понимаю конфликтует с default-route который создает wan от провайдера? Днс на клиенте раздается автоматом с wan нужно ли в моем случае добавлять руками 1.1.1.1 или 8.8.8.8?